IEEE十萬用戶帳密外洩 涵蓋蘋果、Google等員工資料

IEEE十萬用戶帳密外洩　涵蓋蘋果、Google等員工資料


將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP，內容包含99979名會員的帳號與密碼及其活動記錄，產生之緩衝檔案與日誌檔案容量高達100GB。

哥本哈根大學助教Radu Dragusin發現，電機電子工程師學會（IEEE，Institute of Electrical and Electronics Engineers）網站將該學會2011年年報部分的網站日誌檔案及緩衝檔案放置區域誤設為公開FTP，內容包含99979名會員的帳號與密碼及其活動記錄，約為全體會員數目41.1萬的24%。

Radu Dragusin表示，這些資料至少在一個月前就已經設定錯誤，在發現錯誤並修正之前，任何人都可以隨意抓取相關檔案，期間該網站網頁伺服器回應3.76億次連結請求，產生之緩衝檔案與日誌檔案容量高達100GB。

網站日誌檔案內含有使用者的帳號與密碼資料及活動記錄，而且這些記錄都是以明碼方式儲存。由於許多人在不同網站使用相同的帳號與密碼，因此這些資料可能導致其他網站資料被竊。一般而言，網站會在數種開放源碼的加密技術中挑選一種來保護帳號、密碼這些重要資料

目前雖然沒有任何證據顯示這些資料已經外洩，但仍無法排除在設定修正之前，駭客已經發現可以隨意取走這些資料。

IEEE會員主要為全球各大科技機構的研發人員，目前已知蘋果、Google、IBM、Oracle、三星、史丹佛大學等單位的員工都在此次可能外洩資料的範圍內，這些使用者的帳號與密碼都可能已經外洩，而且還包含這些使用者在ieee.org與spectrum.ieee.org兩個網站的活動記錄，也包含部分美國專利商標局及IEEE等網域的電子郵件往來記錄。

Radu Dragusin也針對用戶所使用的密碼做統計，發現123456這個密碼使用頻率最高，為271次，之後依序為ieee2012共270次、12345678共246次、123456789共109次。

IEEE透過電子郵件發表聲明，表示該協會已經發現網站日誌檔案設定錯誤及使用明碼記錄帳號、密碼等問題，將徹底調查並加以修正。該協會重視並維護用戶隱私，會通知受影響的用戶，並對此事件對會員及客戶的影響表示致歉。（編譯/沈經）